Chính sách bảo mật

Chúng tôi thu thập các loại thông tin sau:

• Thông tin tài khoản: khi bạn đăng nhập bằng Google, chúng tôi nhận tên, địa chỉ email và ảnh đại diện từ tài khoản Google của bạn.
• Nội dung Gmail: với mỗi hộp thư bạn chủ động kết nối và cấp quyền, chúng tôi đọc email và tệp đính kèm (PDF, DOCX, ảnh) của hộp thư đó để xử lý theo cấu hình của bạn.
• Dữ liệu cấu hình: workflow, quy tắc định tuyến, đích nhận dữ liệu và các thiết lập tổ chức bạn tạo.
• Kết quả xử lý & nhật ký: kết quả phân loại/bóc tách của AI, trạng thái xử lý và nhật ký vận hành.

Thông tin chỉ được dùng để cung cấp và vận hành dịch vụ:

• Đọc, phân loại và bóc tách dữ liệu từ email theo cấu hình của bạn.
• Định tuyến và gửi kết quả tới các đích bạn đã thiết lập.
• Hiển thị nhật ký, thống kê mức dùng và hỗ trợ khắc phục sự cố.
• Bảo đảm an toàn, chống lạm dụng và tuân thủ pháp luật.

Chúng tôi không dùng nội dung email của bạn cho quảng cáo và không bán dữ liệu của bạn cho bất kỳ bên nào.

Việc XomiSaaS sử dụng và chuyển giao thông tin nhận được từ Google API tuân thủ Chính sách Dữ liệu Người dùng của Dịch vụ Google API, bao gồm các yêu cầu Sử dụng Giới hạn (Limited Use).

Cụ thể, dữ liệu Gmail của bạn:

• chỉ được dùng để cung cấp tính năng xử lý email được mô tả rõ trong giao diện ứng dụng;
• không được dùng cho quảng cáo;
• không được bán cho bên thứ ba;
• không được con người đọc, trừ khi: bạn đồng ý, cần cho mục đích bảo mật (vd điều tra lạm dụng), tuân thủ pháp luật, hoặc dữ liệu đã được tổng hợp/ẩn danh.

Chúng tôi chỉ yêu cầu phạm vi quyền (scope) tối thiểu cần thiết: quyền chỉ đọc Gmail (gmail.readonly) cho các hộp thư bạn chủ động kết nối. Bạn có thể thu hồi quyền bất cứ lúc nào trong phần Quyền tài khoản Google hoặc bằng cách xóa hộp thư khỏi XomiSaaS.

Để cung cấp dịch vụ, chúng tôi dùng một số nhà cung cấp hạ tầng đóng vai trò đơn vị xử lý dữ liệu (sub-processor):

• Nhà cung cấp mô hình AI (OpenRouter): nội dung email và tệp đính kèm được gửi tới mô hình ngôn ngữ để phân loại và bóc tách dữ liệu — đây là chức năng cốt lõi của dịch vụ.
• Lưu trữ tệp (Cloudflare R2): lưu ảnh đính kèm phục vụ xử lý.
• Hạ tầng máy chủ & cơ sở dữ liệu (Railway): vận hành ứng dụng và lưu dữ liệu cấu hình, kết quả xử lý.

Các nhà cung cấp này chỉ xử lý dữ liệu theo chỉ dẫn của chúng tôi nhằm mục đích cung cấp dịch vụ. Ngoài ra, chúng tôi có thể tiết lộ thông tin khi pháp luật yêu cầu.

Chúng tôi áp dụng các biện pháp bảo vệ hợp lý: mã hóa các thông tin nhạy cảm (token truy cập, khóa bí mật) khi lưu trữ, cô lập dữ liệu giữa các tổ chức, và giới hạn quyền truy cập. Chúng tôi không lưu tệp gốc PDF/DOCX — chỉ giữ phần văn bản đã trích xuất phục vụ xử lý.

Không hệ thống nào an toàn tuyệt đối; chúng tôi không thể cam kết an toàn 100% nhưng cam kết xử lý sự cố một cách có trách nhiệm.

Mỗi tổ chức có thể cấu hình thời gian lưu giữ (retention). Email và tệp quá hạn lưu giữ sẽ được tự động xóa. Khi bạn xóa hộp thư hoặc xóa tổ chức, dữ liệu liên quan sẽ bị xóa khỏi hệ thống.

Bạn có thể yêu cầu xóa toàn bộ dữ liệu bằng cách liên hệ với chúng tôi.

• Ngắt kết nối bất kỳ hộp thư nào khỏi XomiSaaS bất cứ lúc nào.
• Thu hồi quyền truy cập Google đã cấp cho XomiSaaS.
• Xóa tổ chức và toàn bộ dữ liệu liên quan.
• Yêu cầu truy xuất hoặc xóa dữ liệu cá nhân của bạn.

Chúng tôi có thể cập nhật chính sách này. Khi có thay đổi quan trọng, chúng tôi sẽ thông báo qua ứng dụng hoặc email. Ngày cập nhật gần nhất được ghi ở đầu trang.

Mọi câu hỏi về chính sách bảo mật, vui lòng liên hệ: lienhe@xomisaas.com.